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Komisja Infrastruktury, obradująca pod przewodnictwem posła Jerzego Polaczka 
(PiS), zastępcy przewodniczącego Komisji, zapoznała się z: 


— informacją prezesa zarządu PKP Informatyka Sp. z o.o. na temat zagrożeń, 
incydentów oraz monitorowania bezpieczeństwa kolejowej krytycznej infra- 
struktury IT. 


W posiedzeniu udział wzięli: Radosław Pacewicz wiceprezes Urzędu Transportu Kolejowego, 
Tomasz Buczyński dyrektor Departamentu Kolejnictwa Ministerstwa Infrastruktury i Budownictwa 
wraz ze współpracownikami, Tomasz Emiljan dyrektor Departamentu Infrastruktury Najwyższej 
Izby Kontroli wraz ze współpracownikami, Andrzej Olszewski członek zarządu PKP S.A., Tomasz 
Miszczuk prezes zarządu PKP Informatyka Sp. z 0.0. wraz ze współpracownikami. 


W posiedzeniu udział wzięli pracownicy Kancelarii Sejmu: Elżbieta Kessel, Marcin Mykietyński 
— z sekretariatu Komisji w Biurze Komisji Sejmowych. 


Przewodniczący poseł Jerzy Polaczek (PiS): 


m.S.S. 


Pozwolę sobie z zastępstwie przewodniczącego Bogdana Rzońcy, który poprosił mnie 
o poprowadzenie takiego krótkiego posiedzenia, bo musiał pilnie wracać do Sejmu, 
poprowadzić to posiedzenie w siedzibie PKP Informatyka. 

Jeszcze raz, panie prezesie dziękuję osobiście panu i całemu zarządowi za umożliwie- 
nie nam chyba po raz pierwszy takiego osobistego zapoznania się z działalnością tego 
istotnego podmiotu w obrębie grupy PKP Przy okazji jeszcze, witając naszych gospoda- 
rzy, chciałbym dodatkowo powitać pana dyrektora Tomasza Buczyńskiego — dyrektora 
Departamentu Kolejnictwa Ministerstwa Infrastruktury (od wczoraj), i panią Magdalenę 
Kosowską — p.o. naczelnika w Departamencie Kolejnictwa. Chciałbym również powitać 
wiceprezesa Urzędu Transportu Kolejowego pana Radosława Pacewicza, przedstawicieli 
Departamentu Infrastruktury Najwyższej Izby Kontroli na czele z panem Tomaszem 
Emiljanem. Nie zapominam tutaj o spółce matce — PKP S.A., i witam pana Andrzeja 
Olszewskiego — członka zarządu PKP S.A. i jednocześnie — jak pan prezes wspomniał 
— szefa rady nadzorczej spółki PKP Informatyka. 

Zapoznaliśmy się z tą prezentacją, jaką przedstawiono tutaj paniom i panom posłom 
dotyczącą zagrożeń, incydentów oraz monitorowania bezpieczeństwa kolejowej krytycz- 
nej infrastruktury IT. Każdy z państwa mógł, zapoznając się z tym materiałem, z tą pre- 
zentacją, przygotować sobie ewentualnie jakieś dodatkowe pytania, które za chwilę 
będzie można zadać. Generalnie mamy 35 minut czasu. 

Na początku chciałbym jeszcze ewentualnie poprosić ze swojej strony przedstawicieli 
grupy PKP - pana prezesa Miszczuka, czy ewentualnie kogoś z państwa, jeśli chciałby 
jeszcze dokonać jakiegoś uzupełnienia problematyki, która została zaprezentowana, 
ewentualnie przedstawiciela UTK czy Departamentu Kolejnictwa Ministerstwa Infra- 
struktury, a później przeszlibyśmy do rundy pytań pod adresem, jak rozumiem, naszych 
przemiłych gospodarzy PKP Informatyka. Czy z państwa strony są jeszcze jakieś kwe- 
stie, które trzeba dopowiedzieć albo dodatkowo uzupełnić na kanwie tej prezentacji? 
Głosu udziela pan prezes. Proszę bardzo, pan prezes Miszczuk. 
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Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 
Z naszej strony przekazaliśmy w zasadzie te główne informacje. Raczej oczekiwalibyśmy, 
że państwo zechcą zadać nam jakieś pytania. Chętnie na nie odpowiemy. Jeśli będzie 
konieczne uzupełnienie jakichś informacji, to może wtedy przekażemy... 


Przewodniczący poseł Jerzy Polaczek (PiS): 

Mam na wstępie takie pytanie, które nasunęło mi się w trakcie tej prezentacji. Gdyby 
ewentualnie państwo z PKP Informatyka powiedzieli parę zdań na temat stanu objęcia 
ochroną SOC, czyli tego systemu operacyjnego bezpieczeństwa, przede wszystkim spółek 
grupy PKP, bo to — jakby to powiedzieć — też jest ziemia bardzo bliska i warto temu 
poświęcić jeszcze kilka takich dodatkowych uwag. Później poproszę państwa posłów 
o zadawanie pytań. Zróbmy może taką pierwszą rundę — trzy pytania. Kto jeszcze z pań- 
stwa posłów chce się zgłosić i zadać pytanie. Koleżanki i koledzy, odwagi. Pan przewod- 
niczący Chruszcz, proszę bardzo. 


Poseł Sylwester Chruszcz (WiS): 
Dowiedzieliśmy się głównie o państwa mocnych stronach, ale gdzie jest słaba strona? 
Gdzie musicie doinwestować spółkę? Gdzie kupić — nie wiem — nieruchomość albo ser- 
wer czy coś komputerowego, jakieś zabezpieczenie? Przed jakim wyzwaniem stoicie? 
Dziękuję. 


Przewodniczący poseł Jerzy Polaczek (PiS): 
Proszę, pan przewodniczący Zmijan. 


Poseł Stanisław Żmijan (PO): 

Zeby państwa zdopingować, niewątpliwie materia dla państwa jest oczywista jedno- 
znacznie i dokonujecie przekazu w naszą stronę. Oczywiście my będąc tymi, którzy kon- 
sumują efekty waszej pracy, łatwo tego nie kupujemy. Ja też w tym duchu, bo w kulu- 
arach o tym rozmawialiśmy. Swiat idzie w kierunku jasnych inteligentnych systemów 
w szeroko rozumianym życiu gospodarczym, społecznym i tak dalej, tylko nie ulega wąt- 
pliwości, że nie ma systemów doskonałych, i to są te słabości. Taki przykład z ostatnich 
dni, z dni świątecznych. Okazuje się, że w Lublinie — dowiedziałem się od dziennikarzy, 
że to nie był odosobniony przypadek — również elektroniczny system skreślania z ewi- 
dencji ludności tych ludzi, którzy odeszli na zawsze... 

Tak, to, co teraz mówię, jest zdarzeniem z ostatnich świąt. Przy takich smutnych 
zdarzeniach to są przykre dodatkowe komplikacje. Otóż ze szpitala nie można odebrać 
ciała bliskiej osoby, bo mamy centralny system wykreślania z ewidencji i to są procedury, 
które obowiązują w państwie. To po prostu nie są żarty — jesteśmy zobowiązani do tego. 
To jest prawo. Dyrektor szpitala nie może wydać ciała, ponieważ system mu nie pozwolił, 
bo była awaria. I proszę zauważyć. Nawiązując jakby celowo, bo takie zdarzenia mogą 
być akurat w każdym obszarze... nawiązuję celowo także do tego, o czym mówił prze- 
wodniczący Chruszcz. Jak sobie radzić — nie wiem — równolegle, symetrycznie, bo pano- 
wie mówiliście, że na bieżąco reagujecie, tak? Na bieżąco obserwujecie i reagujecie. Jak 
w takim razie państwo widzicie... bo to, że idziemy w przyszłość z tymi technologiami, 
jest oczywiste, ale właśnie jak unikać tych słabych momentów, bo one są? Dziękuję. 


Przewodniczący poseł Jerzy Polaczek (PiS): 
Dziękuję bardzo. Oddaję głos przedstawicielom grupy PKP, ministerstwa. Proszę, pan 
prezes. 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 
Może w pierwszej kolejności poprosiłbym pana prezesa Olszewskiego, który zgłosił, 
że chce odpowiedzieć. 

Członek zarządu PKP S.A. Andrzej Olszewski: 
Chciałbym odpowiedzieć na pierwsze pytanie dotyczące grupy — jak grupa planuje zabez- 
pieczać spółki właśnie od strony informatycznej. Przede wszystkim zarząd PKP S.A. 
postawił na spółkę PKP Informatyka jako na główną spółkę informatyczną w grupie 
kapitałowej. To jest pewna zmiana strategii, o czym wcześniej mówił prezes Miszczuk, 
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ponieważ wcześniejsze zamiary były takie, że de facto była to spółka przeznaczona 
do likwidacji. Nam ta strategia nie się podobała. 

Mamy pełną świadomość, że rozproszenie pewnych zadań IT w spółkach jest dużo 
droższe niż koncentracja zadań w jednej spółce i że jest to bardziej efektywne ekono- 
micznie i że optymalizuje to wysiłek organizacji jako całości. W związku z tym to jest 
taki główny strategiczny cel. PKP Informatyka, o czym była mowa, zorganizowała 
wspólny blankiet. W tej chwili pracuje się nad wspólnym biletem, a więc również nad 
ujednoliconą taryfą kolejową. Plany są takie, żeby ten kolejny krąg został zrealizowany 
najpóźniej... 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 


Do końca tego roku. 


Członek zarządu PKP S.A. Andrzej Olszewski: 


..do końca tego roku. PKP Informatyka ma kilka takich swoich podstawowych dzia- 
łalności. O tym też była mowa, ale poza systemem ,,Kurs’90” i różnymi odmianami 
tego systemu, czyli ten system sprzedaży biletów, poza systemem „Bilkom”, sprzedażą 
internetową chcemy, żeby jedną z nóg było bezpieczeństwo. Odbyło się już z inicjatywy 
zarządu PKP S.A. spotkanie zarządu PKP Informatyka i PKP PLK, żeby to centrum 
SOC, które państwo oglądaliście, żeby tym systemem objąć również przynajmniej pewne 
zakresy systemów, na których operuje PKP PLK, ponieważ oczywiście gros systemów 
bezpieczeństwa ruchu kolejowego, to znaczy, wszystkie systemy bezpieczeństwa ruchu 
kolejowego tak naprawdę znajdują się w tej spółce. 

Chcielibyśmy, żeby objąć monitoringiem sieć PKP PLK, czyli te wszystkie funkcjo- 
nalności, które też w jakimś skróconym zakresie były prezentowane, żeby to też była 
jedna z gałęzi realizowanego bezpieczeństwa informatycznego w PKP PLK. Również 
pozostałe spółki z grupy — połączyliśmy PKP Utrzymanie, PKP Budownictwo w spółkę 
PKP Telkol. To połączenie zostało zarejestrowane w dniu 3 stycznia. To również jest 
znaczący podmiot w grupie, jeśli chodzi o wykonawstwo. Ten podmiot też ma być objęty 
i będzie obejmowany tym zakresem bezpieczeństwa. Również PKP Intercity — z natury 
rzeczy najważniejsza spółka pasażerska. PKP Informatyka podjęła również w tym zakre- 
sie rozmowy ze spółką LHS — Linią Hutniczą Szerokotorową. Tak więc ta strategiczna 
decyzja o tym, że spółka PKP Informatyka ma być główną spółką dającą duży zakres 
i zabezpieczenia i obsługi informatycznej grupy, po prostu się dzieje. Dziękuję. 


Przewodniczący poseł Jerzy Polaczek (PiS): 


Proszę, teraz jeszcze pan prezes zabierze głos. 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 


m.S.S. 


Ja rzeczywiście odpowiem. Państwo, będąc w centrum monitoringu, widzieli, że tam był 
taki dashboard, gdzie były odnośniki do poszczególnych spółek. Rzeczywiście w różnych 
zakresach monitorujemy wszystkie spółki. Oczywiście to jest uregulowane odrębnymi 
umowami. Natomiast zadanie polegające na objęciu systemem bezpieczeństwa wszyst- 
kich procesów IT realizowanych przez spółki jest częścią procesu, który jest w realizacji. 
Nie objęliśmy więc tego wszystkiego, ale zmierzamy w tym kierunku i ważna jest dekla- 
racja PKP S.A., że nas w tym wspiera. Bardzo dziękujemy, że nas wspiera — taki jest sens 
działania w grupie, prawda? Dopowiadając to do pierwszego pytania. 

Jeżeli chodzi o pytanie nr 2, czyli o potrzeby. Działalność informatyczna ma tę specy- 
fikę, że ten sprzęt starzeje się bardzo szybko — on jest drogi i starzeje się bardzo szybko. 
Musimy więc rotować tym sprzętem. Kiedy objęliśmy tutaj nowy zarząd w styczniu 
2016 r., ten dług technologiczny był duży, bo były jakby inne plany wobec spółki. Teraz 
spółka ma się stać liderem i ten dług technologiczny zmniejszamy, i staramy się ten 
sprzęt wymieniać już na te nowe oczywiście systemy. Są również nowe serwery. Oczywi- 
ście te stare systemy ciągle działają. Musimy jednak pamiętać, że to nie jest tak, że one 
ciągle działają i będą działały, dopóki ich nie wyłączymy. One też będą wymagały odświe- 
żenia sprzętu, ale to jest jakby wpisane w działalność tej spółki. Wszystko i stale staramy 
się odnawiać, ale miejmy tę świadomość. Sprzęt komputerowy — sami państwo przecież 
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posiadacie laptopy, więc wiecie, jak szybko one robią się już mało efektywne, a my mamy 
ten problem w skali dosyć dużej. Musimy to robić, bo taka jest natura naszej działalności. 
I trzecie pytanie. Jakie ono było? 


Przewodniczący poseł Jerzy Polaczek (PiS): , 
Trzecie pytanie dotyczyło... Panie przewodniczący? Chyba między innymi aplikacji „Zródło”. 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 
Tak. 


Przewodniczący poseł Jerzy Polaczek (PiS): 
To jest trochę poza zadaniami PKP Informatyka. W tej sprawie 2 albo 3 lata temu toczy- 
łem wojnę z ówczesnym ministrem spraw wewnętrznych, bo to był problem wszystkich 
urzędów stanu cywilnego. Jak widzę, on nie do końca jest rozwiązany. ...Do mikrofonu. 


Poseł Stanisław Zmijan (PO): 
Przepraszam. Oczywiście to nie jest rozwiązane. Ja mówiłem albo posłużyłem się tym 
przykładem, bo on jest taki drastyczny. Zauważyłem, że państwo zareagowaliście. Cho- 
dzi o to, że to... 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 
Działający na wyobraźnię. 


Poseł Stanisław Zmijan (PO): 
Tak. Centralne systemy, które funkcjonują, są w naszym prawie i nie można inaczej, dla- 
tego celowo powiedziałem, że nie można obejść prawa, bo to jest prawo. W związku z tym 
takie pytanie do państwa, bo państwo macie to nie tylko w palcach, ale także w sercach 
i w głowach. Dlatego o to pytam, bo to są bardzo duże niedogodności i nie wiadomo, 
co z tym robić. Po prostu w tym kontekście. 


Przewodniczący poseł Jerzy Polaczek (PiS): 
Proszę bardzo. 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 
Oczywiście mamy swoje procedury w takich awaryjnych sytuacjach. Wszystko jest opi- 
sane, ponieważ mamy nie tylko system ISO 9001, ale również system ISO 27001, ISO 
20000, bo jesteśmy co roku audytowani pod tym kątem. Te procedury są i działają. 
My je sprawdzamy. Musimy sobie tak radzić. 


Przewodniczący poseł Jerzy Polaczek (PiS): 
Dziękuję bardzo. Pani poseł Maria Zuba zapisała się do głosu. Proszę bardzo, pani poseł. 


Poseł Maria Zuba (PiS): 
Dziękuję bardzo. Szanowni państwo, poznaliśmy, jak działa ten system, ale do momentu, 
jak on funkcjonuje, ale czy moglibyście państwo przedstawić nam negatywne zdarzenie, 
którego dzięki państwa funkcjonowaniu udało się uniknąć? 

Często powtarzaliście panowie, że najsłabszym ogniwem w tym systemie jest czło- 
wiek. Jak zatem odbywa u państwa nabór pracowników i czy macie państwo rezerwę 
stanowisk wystarczającą, żeby w momencie, kiedy ktoś — załóżmy — podejmie decyzję, 
że odchodzi, jest ktoś — jakiś pracownik, który wchodzi w ten system miękko. 

I trzecia rzecz, która mnie interesuje, to czy szkolenia, które państwo przeprowa- 
dzacie, bo rozumiem, że systemy wymagają szkoleń na bieżąco, odbywają się tylko 
wewnętrznie w swoim zespole, czy również korzystacie państwo z doświadczeń innych 
na polu krajowym jak i międzynarodowym? Dziękuję. 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 
Może ja odpowiem. 


Przewodniczący poseł Jerzy Polaczek (PiS): 
Bardzo proszę, panie prezesie. 
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Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 


Może zaczynając od końca, oczywiście korzystamy z doświadczeń różnych przedsię- 
biorstw. Dzisiaj przedsiębiorstwo, które zajmuje się branżą IT nie jest w stanie samo 
posiąść takiej wiedzy, która jest wystarczająca do działania. Naprawdę korzystamy 
z różnych — i krajowych i zagranicznych podmiotów. Często jest to wiedza bardzo spe- 
cjalistyczna, często dostarczana nam na przykład przez jedną firmę na świecie. Również 
trzeba to wiedzieć. Korzystamy z tego jak najbardziej. 

Jeśli chodzi o zapewnienia sobie takiego bezpieczeństwa, to redundancja — że tak 
powiem — zasobów ludzkich jest jak najbardziej dla nas sprawą priorytetową. Staramy 
się zawsze mieć kilka osób, które posiadają tę wiedzę i mogą się nawzajem zastępować, 
nawet nie ze względu na to, że ktoś gdzieś tam odejdzie albo spotka go jakiś wypadek, ale 
choćby ze względu na zwykły urlop. Oczywiście są ludzie lepiej przygotowani i niektórzy 
ludzie mniej przygotowani, ale wszystko jest na takim poziomie, że ciągłość działania 
systemów jest zapewniona, o czym zresztą świadczą nasze certyfikaty, które posiadamy. 
Jeżeli chodzi o nabory, to prowadzone są zwykłym trybem. 

Oddam natomiast koledze głos, jeśli chodzi o to... Pewnie powiemy o zagrożeniu 
„WannaCry”, którego dało się uniknąć. 


Przewodniczący poseł Jerzy Polaczek (PiS): 


Proszę bardzo jeszcze raz się przedstawić. 


Dyrektor Biura Bezpieczeństwa i Wsparcia Użytkownika PKP Informatyka Sp. z o.o. 
Robert Milewski: 


Robert Milewski, PKP Informatyka. Mieliśmy taki przypadek. To znaczy wystąpiło 
zagrożenie „WannaCry”. W zasadzie zareagowaliśmy w sposób bardzo szybki. Dostali- 
śmy informację od naszego partnera w zakresie bezpieczeństwa, czyli w tym przypadku 
NASK. Dostaliśmy bardzo szybko informację, ponieważ jesteśmy cały czas przez NASK, 
a w zasadzie NC Cyber tak naprawdę — organ, który wspiera bezpieczeństwo, na bie- 
żąco informowani o różnych zdarzeniach. Dzięki temu systemowi, który państwo dzisiaj 
oglądali, czyli badaniu podatności, od razu po prostu wiedzieliśmy, że nasze systemy... 
od razu mieliśmy raport ze wszystkich stacji i terminali w naszej organizacji, które 
ewentualnie mogą wykazywać tę podatność. 

Z uwagi na to, że prowadzimy na bieżąco działania zmierzające do tego, żeby badać 
te podatności, ten raport został wygenerowany w ciągu dosłownie kilkunastu minut 
i mieliśmy pełny dostęp do ewentualnych zagrożeń, które są na naszych stacjach robo- 
czych. Powiem tak: żaden z naszych systemów, ani żaden z naszych komputerów nie 
był bezpośrednio zagrożony tą podatnością. Był pojedynczy komputer, o którym wie- 
dzieliśmy, że ma tę podatność. On był zarządzony, był wydzielony z sieci. To były tak 
zwane komputery testowe, gdzie testuje się starsze aplikacje na starszych systemach. 
Był w systemie, który mógł być podatny na ten atak, ale był w całkowicie wydzielonej 
sieci, która została od razu automatycznie wyłączona z użytkowania. To był weekend, 
więc dostaliśmy informację i razem z kolegą naczelnikiem — szefem SOC, w ciągu pół 
godziny byliśmy w firmie, ale już koledzy z SOC działali operacyjnie, żeby zabezpieczyć 
— powiedzmy — te komputery i całą naszą organizację. 


Naczelnik Wydziału Bezpieczeństwa PKP Informatyka Sp. z 0.0. Artur Ślubowski: 


m.S.S. 


Artur Ślubowski, PKP Informatyka. Wszystkie nasze systemy są chronione non stop 
permanentnie przed zagrożeniami. Działa to w ten sposób, że pracownicy, korzystając 
z internetu, nie wejdą w standardzie na stronę w internecie, która ma złą reputację, 
które jest już w świecie znana, że jest tam jakiś wirus albo trojan. Od razu nasze sys- 
temy blokują dostęp do takich stron. Takich więc przypadków, kiedy ktoś chce wejść... 

Przypadek ze stroną KNĘ która teoretycznie była bezpieczna, jednak miała jakiegoś 
wirusa. To znany przypadek sprzed kilku miesięcy. Ale w takim przypadku, kiedy jest 
wiadomo, że strona jest zawirusowana, kiedy ktoś już to określił, nikt z naszych pracow- 
ników nie wejdzie na taką stronę. I takich przypadków dzieje się kilka dziennie. 

Jest standardem, że użytkownicy korzystający z internetu cały czas są poddawani 
wszelakim atakom, kiedy wchodzą na strony, na których jest osadzone jakieś niebez- 
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pieczne oprogramowanie. Codziennie można by było wskazać kilka przypadków, w któ- 
rych nasze systemy zabezpieczyły pracowników przed takimi zdarzeniami. Dziękuję. 


Przewodniczący poseł Jerzy Polaczek (PiS): 

Dziękuję bardzo. Korzystając również z możliwości, chciałbym tutaj jeszcze zadać jedno 
pytanie i jedną informację, która może być praktycznie przydatna naszym gospodarzom 
czy przedstawicielom Ministerstwa Infrastruktury. W kwietniu mamy wyjazdowe posie- 
dzenie pod tytułem „Informacja Ministra Infrastruktury na temat bezpieczeństwa w pol- 
skim transporcie w 2017 r.”, zarówno w samochodowym, lotniczym jak i kolejowym. 
Są tu więc elementy, które są dzisiaj przedmiotem naszego posiedzenia wyjazdowego 
również w siedzibie PKP Informatyka. Myślę jednak, że to jest taki ciekawy — powie- 
działbym — komponent ewentualnej informacji dotyczącej bezpieczeństwa w transporcie 
kolejowym pod kątem właśnie likwidowania zagrożeń czy unikania incydentów, którym 
można zapobiec. 

Ostatnie pytanie z mojej strony, które chciałbym tutaj zadać, dotyczy już bardzo prak- 
tycznej kwestii związanej z tym, że chyba w maju 2018 r. wchodzi w życie implemento- 
wana dyrektywa Parlamentu Europejskiego o ochronie danych osobowych. Ona również 
wywiera znaczący wpływ na funkcjonowanie przedsiębiorstw i spółek. Chciałbym zadać 
takie pytanie, w jaki sposób PKPO Informatyka może udzielić wsparcia w tym zakresie 
dla grupy, którą wszyscy — że tak powiem — znamy, i ewentualnie jak wygląda — powie- 
działbym — ten stan przygotowań do tych nowych rozwiązań, które będą obowiązywać 
od maja. Tym bardziej że, jak mówię, będą obowiązywać pewne nowe regulacje, dość zna- 
czące? W ubiegłym roku w Sejmie została uchwalona duża nowelizacja ustawy o ochro- 
nie danych osobowych i też będzie to miało bardzo istotne znaczenie praktyczne, jeśli 
chodzi o tę sferę bezpieczeństwa i ochrony danych, automatycznego przetwarzania i tak 
dalej, i tak dalej. Mam więc pytanie dotyczące problematyki tej regulacji, która będzie 
wchodziła w życie w 2018 r. 

Czy jeszcze któraś z pań posłanek lub któryś z panów posłów ma pytanie? Pan poseł 
Puda wcześniej się zgłosił? Boi się pan? Nie chce pan żadnego pytania zadać? Pan poseł 
Suchoń. Czy jest jeszcze jakieś inne pytanie? Jeśli nie ma, to zamykam listę i później 
po tym pytaniu, które zada pan poseł Suchoń i odpowiedzi, powoli zmierzalibyśmy 
do końca dzisiejszego wyjazdowego posiedzenia. Proszę, panie pośle. 


Poseł Mirosław Suchoń (N): 

Bardzo dziękuję. Panie przewodniczący, panowie prezesie, Wysoka Komisjo, oczywiście 
chciałbym jeszcze nawiązać do tych kwestii pracowniczych, bo w trakcie prezentacji pan 
prezes był uprzejmy przedstawić taką formułę naboru młodych pracowników, młodych 
absolwentów, pewnie studentów jeszcze, którzy kończą uczelnie na kierunkach infor- 
matycznych... Zamierzona, tak? Rozumiem, że to jest jakaś odpowiedź na problemy 
na rynku pracy. Natomiast jednak chciałbym zapytać, jakie państwo bodźce stosują, 
żeby pracownicy — ci doświadczeni, bo jeżeli mówimy o bezpieczeństwie, to jednak kwe- 
stie bezpieczeństwa związane są z doświadczeniem... Im bardziej doświadczony — powie- 
działbym — człowiek, który jest odpowiedzialny za bezpieczeństwo, tym działa on lepiej, 
krótko mówiąc i nie rozwijając tematu. W związku z tym, czy państwo stosują takie 
bodźce, które pozwalają zatrzymać w firmie doświadczonych pracowników? Po drugie, 
jaki mają państwo budżet na szkolenia? Rozumiem, że jest jakiś budżet na szkolenia. 
W zasadzie jeżeli chodzi o kwestie IT, to inżynier, który kończy szkołę już ma jakieś opóź- 
nienie, jeśli chodzi o tę najnowszą wiedzę. Wiemy, że trzeba ją uzupełniać. W jaki sposób 
w związku z tym państwo kreują ten obszar, jeżeli chodzi o swoich pracowników? Czy 
jest taki budżet? Czy mobilizują państwo, czy stosują państwo jakieś bodźce do podno- 
szenia kwalifikacji? 

Drugie pytanie dotyczy infrastruktury. Państwo świadczą usługi spółkom grupy. 
Natomiast jest pytanie, czy łącza, które państwo stosują do świadczenia tych usług 
są własnością spółki, czy korzystają państwo w szerokim zakresie z łącz dzierżawionych? 
Jeżeli tak, to jak państwo zapewniają właśnie kwestie łączności? Czy to jest korzystanie 
z wielu operatorów czy z jednego? To jest drugie pytanie. 
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Trzecie pytanie dotyczy właśnie centrów danych. Jeżeli oczywiście można udzielić 
takiej informacji, to prosiłbym o informacje, ile państwo posiadają centrów danych — 
kolokwialnie czy pospolicie mówiąc, serwerowni? Czy to jest zlokalizowane w jednym 
miejscu czy w wielu miejscach? Jak państwo właśnie zabezpieczają kwestie bezpieczeń- 
stwa nie w sensie dostępu, tylko zabezpieczenia przed utratą danych, co też się zdarzało 
nawet w bardzo poważnych instytucjach? Dziękuję bardzo. 


Przewodniczący poseł Jerzy Polaczek (PiS): 
Bardzo dziękuję. Oddaję głos przedstawicielom spółki i ewentualnie grupy. Proszę, 
według uznania, panie prezesie. Pytałem, panie prezesie, o kwestie wsparcia PKP Infor- 
matyka w tym obszarze — powiedziałbym — nowej regulacji europejskiej i ewentualnie 
jak to wygląda dzisiaj u państwa w samej PKP Informatyka i w grupie? Po prostu mamy 
jeszcze kilka miesięcy czasu. 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 
Dobrze, musiałem sobie zapisać te wszystkie pytania. 


Przewodniczący poseł Jerzy Polaczek (PiS): 
Proszę, panie prezesie. 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 

Dobrze. Jeśli chodzi o RODO, to oczywiście tutaj ciągle pierwszą rzeczą są szkolenia. 
Odpowiadając na pytanie o budżet, powiem, że jest spory budżet — w tej chwili nie potra- 
fię powiedzieć jaki, ale pokrywający nasze potrzeby w zupełności. Na to nie żałujemy, 
bo wiedza jest jakby kluczem. Ten biznes opiera się na wiedzy. On nie oprze się ani 
na maszynach, ani na oprogramowaniu, tylko na ludziach. Natomiast w tej chwili nie 
potrafię dokładnie powiedzieć, w jakiej on jest wysokości. Jeśli chodzi o RODO, o szko- 
lenia — wracając jeszcze — to cały zarząd i cała kadra menadżerska jest przeszkolona. 
Prowadzimy chyba od prawie roku akcję uświadamiającą, jeśli chodzi o informacje doty- 
czące RODO. One są przekazywane pracownikom, wszystkim pracownikom, więc pod 
tym kątem ta nasza świadomość jest również wysoka. 

Jako spółka technologiczna te zabezpieczenia technologiczne praktycznie od zawsze 
mieliśmy, więc tutaj aż tak dużo nie zostało do zrobienia. Czy coś jeszcze? 


Dyrektor biura PKP Informatyka Sp. z 0.0. Robert Milewski: 

Analiza ryzyka w zakresie RODO. Podstawowym elementem tej ustawy i tych zabez- 
pieczeń jest jednak analiza ryzyka. Taki SOC, czyli to badanie podatności, jest podsta- 
wowym elementem badania ryzyka, a co za tym idzie, stosowania zabezpieczeń, które 
są — powiedzmy — wymagane przez RODO. Wynika to więc przede wszystkim ze świado- 
mości zagrożeń. One mają być adekwatne, mówiąc oczywiście w bardzo dużym skrócie. 
SOC wpisuje się w 100% w tę — powiedzmy — ustawę, przepraszam, nie w ustawę, tylko 
w rozporządzenie. 


Przewodniczący poseł Jerzy Polaczek (PiS): 
Proszę bardzo. Jeszcze pan poseł Suchoń zadał pytanie. 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 
Tak, już odpowiadam. 


Przewodniczący poseł Jerzy Polaczek (PiS): 
Na jedno w sprawie szkoleń uzyskał już odpowiedź. 


Prezes zarządu PKP Informatyka Sp. z 0.0. Tomasz Miszczuk: 

Jeśli chodzi o operatorów, to my tych sieci własnych nie mamy za dużo, więc korzystamy 
z łącz dzierżawionych bardzo wielu operatorów. Jeśli chodzi o to, rzeczywiście mamy 
10 lokalizacji, więc chociażby z tego punktu widzenia musimy korzystać z tych operato- 
rów. Jeśli chodzi o serwerownie, są one w różnych lokalizacjach. Nie chciałbym rozwijać 
tego, bo wiadomo, że są to kwestie bezpieczeństwa. 

Mamy najlepszą serwerownię w standardzie Tier 4 na terenie Warszawy. Nie będę 
mówił więcej. Jest to najwyższy poziom. Ona chyba przetrwałaby nawet atak atomowy. 
Natomiast mamy też mniejsze serwerownie w różnych lokalizacjach, ale to, co najważ- 
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niejsze, jest chronione w najwyższym stopniu. Tam w tych innych — zapasowych, może 
juz nie. Tak, one są w różnych miejscach. Są utworzone procedury backup'owe. Taśmy 
są archiwizowane w niezależnych miejscach, więc pod tym kątem, jeśli chodzi o te repo- 
zytoria i tak dalej, to bez tego nie można by było funkcjonować, bo wiadomo, że jakakol- 
wiek awaria powodowałaby olbrzymie straty. Oczywiście to jest w standardzie działania 
takich firm, więc... Nie chcę jednak mówić gdzie i jak, bo... 


Przewodniczący poseł Jerzy Polaczek (PiS): 
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Dziękuję bardzo. Czy jeszcze ewentualnie przedstawiciele ministerstwa albo Urzędu 
Transportu Kolejowego chcieliby przedstawić jakieś parozdaniowe podsumowanie 
ze swojej strony? Jest taka potrzeba? Panie dyrektorze? Panie prezesie? Nie ma. 

W związku z tym pozwolę sobie raz jeszcze podziękować naszym gospodarzom, 
wszystkim przedstawicielom grupy PKP na czele z szefem rady nadzorczej — panem 
Andrzejem Olszewskim, przedstawicielom ministerstwa, Urzędu Transportu Kole- 
jowego innym gościom oraz koleżankom i kolegom, którzy tutaj dotarli na dzisiejsze 
posiedzenie. Cieszę się, że w ramach strategii grupy PKP S.A spółka PKP informatyka 
odzyskuje takie - można powiedzieć — poważne miejsce w tej strategii, unikając tego sce- 
nariusza, o którym tutaj już wspomniano. Wielu z nas było świadkami pewnego rodzaju 
— powiedziałbym — mechanizmu również w poprzednich latach, który był bardzo często 
krytykowany, również przez środowisko związane z transportem kolejowym. Cieszę się, 
że to się zmienia. 

Chciałbym tym samym zamknąć dzisiejsze wyjazdowe posiedzenie Komisji. Dziękuję 
również sekretariatowi za pomoc. Dziękuję. 


m.S.S. 


